Drucksache: Entwickler Magazin 3.18 - Incident Response
Im Entwickler Magazin 3.18 ist ein Artikel über "Incident Response" erschienen: Was passiert, wenn etwas passiert? Wie soll auf einen Angriff reagiert werden?
Wissen Sie, was Sie tun werden, wenn Ihr Rechner, Ihr lokales Netz, Ihr Webserver angegriffen wird, womöglich sogar erfolgreich kompromittiert wurde? Oder wenn in Ihrem Code eine Schwachstelle gefunden wird? Hoffentlich, denn sonst haben Sie im Ernstfall ein Problem.
Eine Incident Response Planung erscheint oft überflüssig. Wer macht sich schon gerne die Mühe, sich tolle Pläne auszudenken, die dann doch nicht umgesetzt werden? Sie ist aber nötig.
Denn irgend wann passiert etwas Unangenehmes, egal ob nun ein Angriff auf die eigene IT oder eine gefundene (und womöglich bereits ausgenutzte) Schwachstelle im eigenen Code. Dafür sorgt schon der nette Herr Murphy mit seinem Gesetz.
Dann gilt es, schnell und zielgerichtet zu reagieren. Und das geht nur, wenn man weiß, was zu tun ist. Wenn man dann erst anfangen muss zu planen, hat man ein Problem. Denn der Schaden wird immer größer, je später man mit der Abwehr des Angriffs bzw. der Beseitigung der Schwachstellen beginnt.
Einige gute Hinweise für den Aufbau eines PSIRT hat Kymberlee Price in [11] gegeben. Und zum größten Teil lassen die sich sinngemäß auch auf die Incident Response Planung für Angriffe übertragen.
Update 18.6.18
Der Artikel ist jetzt auch online
auf entwickler.de
zu lesen.
Ende des Updates
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers, entwickler.de: "Cyberangriff auf den Bundestag – BadBIOS?"
- [2] OWASP: "OWASP Top 10 - 2017 - The Ten Most Critical Web Application Security Risks" (PDF)
- [3] OWASP: "OWASP Top 10 - 2017 - The Ten Most Critical Web Application Security Risks- Release Candidate 2" (PDF)
- [4] Ponemon Institute’s 2017 Cost of Data Breach Study: Global Overview
- [5] Elvis Hovor, Mohamed El-Sharkawi; Black Hat Europe 2016: "Automating Incident Response: Sit Back and Relax, Bots are Taking Over…" (Video auf YouTube)
- [6] Carsten Eilers: ""Operation Shady RAT" - Ich hätte da noch ein paar Fragen..."
- [7] Cyber Attack Attribution Report
- [8] Jake Kouns; DEF CON 24: "'Cyber' Who Done It?! Attribution Analysis Through Arrest History" (Präsentation als PDF, Video auf YouTube)
- [9]
Arrest Tracker
Der Arrest Tracker ist zur Zeit (Stand: 6.4.2018) nicht erreichbar. Als Alternative steht das Twitterprofil des Projekts zur Verfügung. - [10] Microsoft: "What is the Security Development Lifecycle?"
- [11] Kymberlee Price; Black Hat USA 2016: "Building a Product Security Incident Response Team: Learnings from the Hivemind" (Video auf YouTube, Blogeintrag "Product Security Incident Response 101")
- [12] Katie Moussouris; ThreatPost: "The Time Has Come to Hack the Planet"
- [13] Vorschaltseite "Licence Agreement for standards made available through the ITTF web site" vor dem Download von ISO 29147
- [14] Best Practices for Security Incident Response Teams
Trackbacks